CTF Challenge 2018: Pay Deal

CTF Challenge 2018
Vanaf 13.00u gingen +/- 70 deelnemers de strijd aan bij de CTF Challenge. De CTF Wisselbeker was vorig jaar gewonnen door het team van Dearbytes: Wesley Neelen & Rik van Duijn.

Dit jaar hebben diverse bedrijven, studenten en individuen geprobeerd om Dearbytes van hun troon te stoten.

De Casus dit jaar: Pay Deal

Pay Deal levert een betaaloplossing voor webshops. Pay Deal registreert en verwerkt alle transacties die plaatsingen met de ‘pay deal’ koppeling. Deze transacties kunnen door klanten van Pay Deal worden ingezien via een dashboard. Dit betekent concreet dat Pay Deal beschikt over grote hoeveelheden creditcardnummers. Deze informatie is gewild bij verschillende schimmige partijen.

Casus
Pay Deal heeft sinds vorig jaar een security officer aangewezen. Deze medewerker heeft diverse problemen in de privésfeer. Een combinatie van een alcohol- en gokverslaving heeft ervoor gezorgd dat hij grote schulden heeft. De ‘Loan Sharks’ of krediethaaien waar de medewerker schulden heeft, staan bekend om hun agressieve inningsmethoden.

De medewerker heeft daarom besloten een deal te sluiten met de schuldeisers. In plaats van betaling in euro’s gaan zij akkoord met betaling in creditcard nummers. De medewerker heeft toegezegd dat hij deze gegevens zal aanleveren.

De medewerker beschikt niet over de kennis om zelf een aanval op de systemen van Pay Deal uit te voeren. Daarnaast vreest hij dat het eenvoudig te traceren is wanneer hij zelf de vertrouwelijke informatie ontvreemdt. Daarom is zijn plan om andere hackers hiervoor in te huren. Hij kan deze groep voorzien van (beperkte) informatie over de systemen die in gebruik zijn. De hackers dienen de creditcard nummers te stelen en aan de medewerker te leveren.

Opdracht
Bemachtig zoveel mogelijk creditcard nummers inclusief vervaldatum en veiligheidscode. Onderstaand, drie voorbeelden van een creditcard gegeven
1111 2222 3333 4444 2010/01 123
2222 3333 4444 5555 2011/02 456
3333 4444 5555 6666 2012/13 789

Ieder kenmerk was 10 punten waard.